Kampania rozpoczyna się od przekierowania użytkowników poprzez reklamy na domenę deepseek.exploreio[.]net. Fałszywa witryna jest dokładną kopią oryginalnej platformy DeepSeek. Po kliknięciu przycisku pobierania wersji dla MacOS, ofiara otrzymuje plik DMG z domeny manyanshe.com - donosi cert.orange.pl.
Po uruchomieniu pliku DMG aktywowany zostaje złośliwy skrypt powłoki. Program wykorzystuje kodowanie base64 do ukrycia swojego prawdziwego kodu. Malware zawiera również mechanizmy anty-debuggingowe, sprawdzające obecność narzędzi analitycznych i określonych nazw użytkowników.
Szkodliwe oprogramowanie przeszukuje system w poszukiwaniu woluminów i tworzy własne ścieżki dostępu. Następnie kopiuje swoje pliki wykonawcze, usuwa zabezpieczenia systemowe i nadaje sobie odpowiednie uprawnienia do działania.
Cele i skutki ataku
Malware kradnie dane z przeglądarek internetowych, w tym pliki cookie, hasła i informacje o kartach kredytowych. Program zbiera również dane z portfeli kryptowalutowych oraz systemowych pęków kluczy.
Wykradzione informacje są zbierane w jeden plik i przesyłane na serwer kontrolny pod adresem powiązanym z wcześniejszymi kampaniami złośliwego oprogramowania. Eksperci zauważają, że przestępcy śledzą nowe trendy technologiczne, wykorzystując rosnące zainteresowanie sztuczną inteligencją do swoich działań.
Specjaliści ds. cyberbezpieczeństwa zalecają szczególną ostrożność podczas pobierania oprogramowania. Kluczowe jest weryfikowanie autentyczności stron internetowych przed pobraniem jakichkolwiek plików instalacyjnych.
